Header Image

Desde un error 500, hasta la cocina

Durante una investigación de seguridad a una importante entidad financiera, se logro identificar mediante un error 500 que Content Server estaba detrás (FATWIRE ContentServer Oracle), buscando en internet existe poca información relacionada, lo que nos propusimos a auditar y encontrar el mayor número de vulnerabilidades posibles, lo que nos permitió identificar vulnerabilidades que permitían, ejecutar código SQL en el ContentServer y por medio de ese acceso no restringido, se logro sacar los hash de los administradores del ContentServer para su posterior cracking, en lo cual nos proporciono el acceso al FATWIRE Manager, pudiendo editar un template de demo y obtener ejecución de comandos en el servidor vulnerable. Muchas de las vulnerabilidades detectadas no han sido reportadas ni están documentadas en internet y existen muchas entidades financieras, corredoras de seguro, empresas de alto prestigio y reputación que a día de hoy son vulnerables.

Entre las vulnerabilidades detectadas podemos indicar las siguientes:

  • Insuficiente control de acceso
  • Ejecución de comandos SQL
  • XSS reflejados
  • Fuerza bruta por XML
  • Información al descubierto

Hay que decir que algunas de entidades o empresas se han reportado tales como, Ayuntamiento de Madrid, Sitio oficial del Real Madrid, Mutua Madrileña de seguros, y en colaboración con la Guardia Civil, se ha logrado reportar a algunas instituciones públicas afectadas.

octubre 6

16:00

– 16:50

(50′)

Paraninfo Universitario

Richard Alviarez

navaja negra conference albacete

¿Tienes alguna pregunta? No dudes en ponerte en contacto con nosotros.